npm 新增 2FA 门控发布与包安装控制，防范供应链攻击

GitHub 为 npm 推出了新的安全控制措施，以提升软件供应链的安全性，使维护者能够在软件包公开发布可供安装之前，明确批准某个版本。

该功能称为 staged publishing（分阶段发布），现已正式在 npm 上可用。它要求人工维护者通过 2FA（双因素认证）挑战来批准一个软件包，然后才能将其推送至 npmjs[.]com。

GitHub 表示：“与直接发布（立即向用户提供新版本）不同，预构建的 tarball 会被上传到一个暂存队列，维护者必须在此明确批准后，该版本才变为可安装状态。”

这家微软旗下的子公司表示，这一变更确保了每次发布都有“在场证明”（proof of presence），包括来自非交互式 CI/CD 工作流以及使用 OIDC（OpenID Connect）认证的可信发布。

在使用 staged publishing 之前，软件包维护者必须满足以下条件：

拥有对该软件包的发布权限

该软件包已存在于 npm registry 中（即全新软件包无法暂存）

账户已启用 2FA

开发者可在软件包根目录下使用命令 npm stage publish 将软件包提交到暂存区。要使用此命令，必须将 npm CLI 更新至 11.15.0 或更高版本。为获得最佳保护，GitHub 建议将 staged publishing 与使用 OIDC 的可信发布结合使用。

第二项与 npm 相关的更新是引入了三个新的安装源标志，与现有的 --allow-git 标志配合使用：

--allow-file：控制从本地文件路径和本地 tarball 的安装

--allow-remote：控制从远程 URL（包括 https tarball）的安装

--allow-directory：控制从本地目录的安装

GitHub 表示，这些标志允许开发者“对每个非 registry 的安装源应用相同的显式白名单方法”。

此次更新发布之际，过去几个月针对开源生态系统的软件供应链攻击急剧增加。一个名为 TeamPCP 的网络犯罪团伙正通过自我延续的入侵循环，以前所未有的规模投毒流行软件包。